Güneydoğu Asya’daki yüksek profilli devlet kurumları, geçen yılın sonlarından beri Sharp Panda olarak bilinen Çinli bir tehdit aktörü tarafından yürütülen bir siber casusluk kampanyasının hedefi.
İzinsiz girişler, grubun 2021’de gözlemlenen saldırı zincirlerinden ayrılmaya işaret eden Soul modüler çerçevesinin yeni bir versiyonunun kullanılmasıyla karakterize ediliyor.
İsrailli siber güvenlik şirketi Check Point, “uzun süredir devam eden” faaliyetlerin tarihsel olarak Vietnam, Tayland ve Endonezya gibi ülkeleri seçtiğini söyledi. Sharp Panda, şirket tarafından ilk olarak Haziran 2021’de belgelendi ve bunu “fark edilmemek için önemli çaba sarf eden son derece organize bir operasyon” olarak tanımladı.
İlginç bir şekilde, Broadcom’dan Symantec, Güneydoğu Asya’daki savunma, sağlık ve BİT sektörlerini hedef alan atfedilmemiş bir casusluk operasyonuyla bağlantılı olarak Soul arka kapısının kullanımını ayrıntılı olarak Ekim 2021’de açıkladı.
Fortinet FortiGuard Labs tarafından Şubat 2022’de yayınlanan araştırmaya göre implantın kökenleri, Gh0st RAT ve diğer halka açık araçlardan gelen kötü amaçlı yazılımın yeniden kullanım koduyla Ekim 2017’ye kadar uzanıyor.
Check Point tarafından detaylandırılan saldırı zinciri, Microsoft Equation Editor’daki çeşitli güvenlik açıklarından birini kullanarak bir indiriciyi düşürmek için Royal Road Rich Text Format (RTF) silah oluşturucusundan yararlanan bir yem belgesi içeren bir mızrakla kimlik avı e-postasıyla başlar.
İndirici ise, SoulSearcher olarak bilinen bir yükleyiciyi, yalnızca hedeflenen ülkelere karşılık gelen IP adreslerinden kaynaklanan isteklere yanıt veren coğrafi sınırlanmış bir komuta ve kontrol (C&C) sunucusundan almak üzere tasarlanmıştır.
Yükleyici daha sonra Soul arka kapısını ve diğer bileşenlerini indirmekten, şifresini çözmekten ve yürütmekten sorumludur, böylece düşmanın çok çeşitli bilgileri toplamasını sağlar.
Check Point, “Soul ana modülü, C&C sunucusuyla iletişim kurmaktan sorumludur ve birincil amacı, ek modülleri alıp belleğe yüklemektir” dedi.
En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin
Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!
KOLTUĞUNUZU AYIRTIN
“İlginç bir şekilde, arka kapı yapılandırması, arka kapının C&C sunucusuyla iletişim kurmasına izin verilmediğinde aktörlerin bir hafta içinde belirli saatleri belirleyebildiği ‘radyo sessizliği’ benzeri bir özellik içeriyor.”
Bulgular, istihbarat toplamayı kolaylaştırmak için Çin gelişmiş kalıcı tehdit (APT) grupları arasında yaygın olan araç paylaşımının bir başka göstergesidir.
Şirket, “Soul çerçevesi en az 2017’den beri kullanımda olsa da, arkasındaki tehdit aktörleri mimarisini ve yeteneklerini sürekli olarak güncelliyor ve geliştiriyor” dedi.
Ayrıca, harekâtın muhtemelen “diğer araçları, yetenekleri ve daha geniş casusluk faaliyetleri ağındaki konumları henüz keşfedilmemiş olan gelişmiş Çin destekli tehdit aktörleri tarafından sahnelendiği” kaydedildi.